Кевин Митник - Искусство вторжения

Любую компанию, которая заказывает «pen test» и ожидает результатов, чтобы убедиться в том, что их система нетронута и не имеет брешей, ожидает сильное разочарование. Профессионалы в бизнесе проведения проверок безопасности часто отыскивают одни и те же старые ошибки: компании просто не прилагают достаточно усилий к тому, чтобы достойно защитить свою ценную информацию и компьютерные системы.

Причина, по которой компании и государственные агентства проводят проверку безопасности, заключается в стремлении узнать истинное положение вещей в данный момент времени. Более того, они могут ощутить прогресс после устранения найденных уязвимостей. Тест проникновения в некотором смысле аналогичен электрокардиограмме. На следующий день после проверки хакер может проникнуть в сеть, используя новые обнаруженные им бреши в ПО, хотя проверка безопасности прошла «на ура».

Поэтому проверять безопасность в надежде, что она подтвердит правильность действий компании по защите ценной информации, просто глупо. Результат скорее всего докажет обратное, что и демонстрируют следующие истории — одна о консалтинговой компании, другая — о биотехнической фирме.

ОДНОЙ ХОЛОДНОЙ ЗИМОЙ

Не так давно несколько менеджеров и руководителей большой И Т —компании в Новой Англии собрались в своей комнате для переговоров, чтобы пообщаться с двумя консультантами. Могу себе представить, как технологические эксперты компании удивились, увидев рядом с собой за столом консультанта Питера Затко. в недалеком хакерском прошлом хорошо известного под именем Mudge.

В начале девяностых годов Mudge с приятелями собрал единомышленников, чтобы работать вместе в небольшой комнатке на складе в Бостоне; эта группа стала уважаемым игроком на рынке компьютерной безопасности и стала называться l0pht. или, говоря более точно, l0pht Heavy Industries. (Имя пишется с маленьким 1, нулем вместо буквы «о», затем в хакерском стиле «ph» вместо звука «ф» и произносится «лофт»). После того, как операции становились все более успешными, и репутация фирмы укреплялась. Mudge стали приглашать для того, чтобы он мог поделиться своими знаниями. Он читал лекции в таких местах, как школа военной стратегии в Монте-рее на тему «Информационное оружие» — как проникнуть во вражеский компьютер и нарушить его работу, не будучи замеченным, а также о технологиях разрушения информации и т.п.

Одно из самых популярных средств для компьютерных хакеров (а иногда и для сотрудников безопасности) — это пакет программ под названием l0phtCrack. Волшебные свойства этой программы воспринимаются теми, кто ее использует, как должное, но я подозреваю, что многие другие люди ее люто ненавидят. Группа l0pht привлекла внимание СМИ, поскольку именно ее члены написали эту программу, которая быстро взламывает множество закодированных паролей. Mudge был соавтором в создании l0phtCrack и одним из основателей Интернет-сайта, который сделал эту программу доступной для хакеров и любого заинтересованного человека, сначала бесплатно. а потом — за деньги.

ПЕРВАЯ ВСТРЕЧА

Запрос, который получила компания Lopht от консалтинговой компании (мы будем называть ее «Newton»), возник после того, как компания решила расширить спектр услуг, который она предлагала своим клиентам, добавив в него тесты безопасности. Вместо того, чтобы нанимать новых людей и постепенно строить соответствующий отдел, они решили обратиться к существующим организациям за теми решениями, которые они могли бы купить и использовать в своих целях. В начале встречи один из сотрудников компании изложил эту идею: «Мы хотим купить вас и сделать частью нашей компании». Mudge вспоминает реакцию:

«Наша реакция была типа: „Хорошо, но… вы нас совсем не знаете“. Мыто знали, что они были глубоко заинтересованы в нас благодаря тому шуму, который СМИ подняли по поводу l0pht».

Отчасти, чтобы выиграть время, необходимое для того, чтобы привыкнуть к мысли о продаже компании, отчасти из-за того, что он не хотел форсировать сделку, Mudge решил выбрать тактику выжидания.

«Я сказал: „ В ы просто не знаете, что покупаете. Что вы скажете о пятнадцати тысячах долларов в качестве нашего гонорара, ведь нам придется серьезно поработать с этими тестами“.

В тот момент l0pht даже не занималась подобными исследованиями. Но я сказал им: « В ы не знаете наших способностей, вы исходите просто из нашей известности. З а п л а т и т е нам пятнадцать тысяч долларов. Е с л и вам не понравится то, что вы получите, то вы просто не будете нас покупать и, тем не менее, потраченное время окупится, поскольку вы получите качественные результаты проверки безопасности, а у н а с будет пятнадцать тысяч д о л л а р о в в банке. С другой стороны, е с л и вам в с е понравится, на ч т о мы искренне надеемся, тогда вы нас купите». Они сказали: «Прекрасно, нас это устраивает». А я подумал; «Что за идиоты!»